Piratas informáticos rusos atacaron a científicos nucleares de Estados Unidos

El Servicio de Seguridad Federal de Rusia (FSB), la agencia de seguridad nacional que también realiza campañas de espionaje para Moscú, y la embajada de Rusia en Washington no respondieron a las solicitudes de comentarios enviadas por correo electrónico.

RPRESS LONDRES/WASHINGTON, 6 ene (Reuters) – Un equipo ruso de hackers conocido como Cold River apuntó a tres laboratorios de investigación nuclear en Estados Unidos el verano pasado, según registros de Internet revisados ​​por Reuters y cinco expertos en seguridad cibernética.

Entre agosto y septiembre, cuando el presidente Vladimir Putin indicó que Rusia estaría dispuesta a usar armas nucleares para defender su territorio, Cold River apuntó a los Laboratorios Nacionales Brookhaven (BNL), Argonne (ANL) y Lawrence Livermore (LLNL), según registros de Internet que mostró a los piratas informáticos creando páginas de inicio de sesión falsas para cada institución y enviando correos electrónicos a científicos nucleares en un intento por hacer que revelaran sus contraseñas.

Reuters no pudo determinar por qué los laboratorios fueron atacados o si algún intento de intrusión tuvo éxito. Un portavoz de BNL se negó a comentar. LLNL no respondió a una solicitud de comentarios. Un portavoz de ANL remitió las preguntas al Departamento de Energía de EE. UU., que se negó a comentar.

Cold River ha intensificado su campaña de piratería contra los aliados de Kyiv desde la invasión de Ucrania, según investigadores de ciberseguridad y funcionarios del gobierno occidental. El bombardeo digital contra los laboratorios estadounidenses ocurrió cuando expertos de la ONU ingresaron al territorio ucraniano controlado por Rusia para inspeccionar la planta de energía atómica más grande de Europa y evaluar el riesgo de lo que ambas partes dijeron que podría ser un devastador desastre de radiación en medio de fuertes bombardeos cercanos.

Cold River, que apareció por primera vez en el radar de los profesionales de inteligencia después de apuntar a la oficina de relaciones exteriores de Gran Bretaña en 2016, ha estado involucrado en docenas de otros incidentes de piratería de alto perfil en los últimos años, según entrevistas con nueve empresas de seguridad cibernética. Reuters rastreó las cuentas de correo electrónico utilizadas en sus operaciones de piratería entre 2015 y 2020 hasta un trabajador de TI en la ciudad rusa de Syktyvkar.

“Este es uno de los grupos de piratería más importantes de los que nunca has oído hablar”, dijo Adam Meyer, vicepresidente senior de inteligencia de la firma estadounidense de ciberseguridad CrowdStrike. «Están involucrados en el apoyo directo a las operaciones de información del Kremlin».

El Servicio de Seguridad Federal de Rusia (FSB), la agencia de seguridad nacional que también realiza campañas de espionaje para Moscú, y la embajada de Rusia en Washington no respondieron a las solicitudes de comentarios enviadas por correo electrónico.

Los funcionarios occidentales dicen que el gobierno ruso es un líder mundial en piratería y utiliza el ciberespionaje para espiar a gobiernos e industrias extranjeros en busca de una ventaja competitiva. Sin embargo, Moscú ha negado sistemáticamente que lleve a cabo operaciones de piratería.

Reuters mostró sus hallazgos a cinco expertos de la industria que confirmaron la participación de Cold River en los intentos de hackeo de los laboratorios nucleares, basándose en huellas digitales compartidas que los investigadores han vinculado históricamente al grupo.

La Agencia de Seguridad Nacional de EE. UU. (NSA) se negó a comentar sobre las actividades de Cold River. La Sede de Comunicaciones Globales de Gran Bretaña (GCHQ), su equivalente de la NSA, no hizo comentarios. El Ministerio de Relaciones Exteriores se negó a comentar.

‘RECOPILACIÓN DE INTELIGENCIA’

En mayo, Cold River irrumpió y filtró correos electrónicos pertenecientes al exjefe del servicio de espionaje británico MI6 . Esa fue solo una de varias operaciones de «pirateo y filtración» el año pasado por parte de piratas informáticos vinculados a Rusia en las que se hicieron públicas comunicaciones confidenciales en Gran Bretaña, Polonia y Letonia, según expertos en seguridad cibernética y funcionarios de seguridad de Europa del Este.

En otra operación de espionaje reciente dirigida a los críticos de Moscú, Cold River registró nombres de dominio diseñados para imitar al menos a tres ONG europeas que investigan crímenes de guerra, según la firma francesa de ciberseguridad SEKOIA.IO.

Los intentos de piratería relacionados con ONG ocurrieron justo antes y después del lanzamiento el 18 de octubre de un informe de una comisión de investigación independiente de la ONU que encontró que las fuerzas rusas fueron responsables de la «gran mayoría» de las violaciones de derechos humanos en las primeras semanas de la guerra de Ucrania. que Rusia ha llamado una operación militar especial.

En una publicación de blog, SEKOIA.IO dijo que, basándose en su objetivo de las ONG, Cold River buscaba contribuir a la «recopilación de inteligencia rusa sobre evidencia relacionada con crímenes de guerra identificados y/o procedimientos de justicia internacional». Reuters no pudo confirmar de forma independiente por qué Cold River apuntó a las ONG.

La Comisión para la Justicia Internacional y la Responsabilidad (CIJA), una organización sin fines de lucro fundada por un veterano investigador de crímenes de guerra, dijo que ha sido atacada repetidamente por piratas informáticos respaldados por Rusia en los últimos ocho años sin éxito. Las otras dos ONG, el Centro Internacional de Conflictos No Violentos y el Centro para el Diálogo Humanitario, no respondieron a las solicitudes de comentarios.

La embajada de Rusia en Washington no respondió a una solicitud de comentarios sobre el intento de pirateo contra CIJA.

Cold River ha empleado tácticas como engañar a las personas para que ingresen sus nombres de usuario y contraseñas en sitios web falsos para obtener acceso a sus sistemas informáticos, dijeron investigadores de seguridad a Reuters. Para hacer esto, Cold River ha utilizado una variedad de cuentas de correo electrónico para registrar nombres de dominio como «goo-link.online» y «online365-office.com», que a simple vista parecen servicios legítimos operados por empresas como Google y Microsoft. , dijeron los investigadores de seguridad.

LAZOS PROFUNDOS CON RUSIA

Cold River cometió varios errores en los últimos años que permitieron a los analistas de seguridad cibernética determinar la ubicación exacta y la identidad de uno de sus miembros, brindando la indicación más clara hasta el momento del origen ruso del grupo, según expertos del gigante de Internet Google, el contratista de defensa británico BAE y La firma de inteligencia estadounidense Nisos.

Varias direcciones de correo electrónico personales utilizadas para configurar las misiones de Cold River pertenecen a Andrey Korinets, un trabajador de TI y culturista de 35 años en Syktyvkar, a unos 1.600 km (1.000 millas) al noreste de Moscú . El uso de estas cuentas dejó un rastro de evidencia digital de diferentes hackeos a la vida en línea de Korinets, incluidas cuentas de redes sociales y sitios web personales.

Billy Leonard, un ingeniero de seguridad del Grupo de análisis de amenazas de Google que investiga la piratería informática de los estados nacionales, dijo que Korinets estuvo involucrado. “Google ha relacionado a este individuo con el grupo de hackers ruso Cold River y sus primeras operaciones”, dijo.

Vincas Ciziunas, un investigador de seguridad de Nisos que también conectó las direcciones de correo electrónico de Korinets con la actividad de Cold River, dijo que históricamente el trabajador de TI parecía ser una «figura central» en la comunidad de hackers de Syktyvkar. Ciziunas descubrió una serie de foros de Internet en ruso, incluido un eZine, donde Korinets había discutido la piratería y compartió esas publicaciones con Reuters.

Korinets confirmó que poseía las cuentas de correo electrónico relevantes en una entrevista con Reuters, pero negó tener conocimiento de Cold River. Dijo que su única experiencia con la piratería se produjo hace años cuando un tribunal ruso lo multó por un delito informático cometido durante una disputa comercial con un antiguo cliente.

Reuters pudo confirmar por separado los vínculos de Korinets con Cold River mediante el uso de datos compilados a través de las plataformas de investigación de ciberseguridad Constella Intelligence y DomainTools, que ayudan a identificar a los propietarios de los sitios web: los datos mostraron que las direcciones de correo electrónico de Korinets registraron numerosos sitios web utilizados en las campañas de piratería de Cold River. entre 2015 y 2020.

No está claro si Korinets ha estado involucrado en operaciones de piratería desde 2020. No ofreció ninguna explicación de por qué se usaron estas direcciones de correo electrónico y no respondió a más llamadas telefónicas y preguntas por correo electrónico.

Información de James Pearson y Christopher Bing Información adicional de Polina Nikolskaya, Maria Tsvetkova y Anton Zverev; y Zeba Siddiqui en San Francisco y Raphael Satter en Washington Editado por Chris Sanders y Daniel Flynn

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies